Attaques cryptos : Mozilla recommande une mise à jour de Firefox
La fondation Mozilla, qui édite le navigateur bien connu, a publié une recommandation le 18 juin 2019. Elle conseille à ses utilisateurs de s’assurer d'avoir la mise à jour de la dernière version de Firefox, car elle a patché une faille de sécurité critique. Cette vulnérabilité aurait permis de viser les détenteurs de crypto-monnaies. Elle a été détectée notamment par les équipes de l’exchange Coinbase.
Une vulnérabilité « zero-day » corrigée
Comme le rapporte ZDNet ce jour, le navigateur Firefox a patché une faille « zero-day » sur son logiciel. Les failles zero-day sont des vulnérabilités qui surviennent sans avoir été détectées, où qui n’ont pas de pas de correctif établi. Elles peuvent être dangereuses, mais restent relativement rares : la dernière à avoir été corrigée par Mozilla date de décembre 2016. Elle visait à l’époque les utilisateurs du navigateur Tor, pour supprimer leur anonymat et les exposer. Lorsqu'une faille survient, il est donc important de la patcher au plus vite.
En ce qui concerne cette nouvelle faille, le rapport de correction publié reste laconique. « Une vulnérabilité de confusion de type peut survenir lorsqu’on manipule des objets JavaScript, à cause de problèmes avec Array.pop. Cela peut donner lieu à des crashs exploitables. Nous savons qu’il existe des attaques ciblées faisant usage de cette faille. » La faille a été quant à elle classifiée comme « critique », elle est identifiée par le code suivant : CVE-2019-11707. La fondation Mozilla n’a pas communiqué plus précisément sur ses caractéristiques, ni sur la nature des attaques.
La faille a été détectée par la communauté crypto
La faille rapportée par Mozilla a été repérée par ceux qu’elle concerne le plus : l’équipe de sécurité de Coinbase, ainsi qu’un chercheur en sécurité de Google Project Zero : Samuel Groß. D’après les premiers éléments dont on dispose, la vulnérabilité aurait été utilisée pour attaquer les comptes de détenteurs de cryptos. On ne sait cependant pas pour l’instant de quelle manière exacte cela a été fait, ni l’étendue des dégâts.
Pour rappel, les navigateurs Firefox à jour à cette date sont la version 67.0.3 et ESR 60.7.1. Si vous utilisez une version obsolète, il est donc conseillé de procéder à une mise à jour Firefox rapide. La marche à suivre est expliquée sur le site officiel de Mozilla. Rappelons également qu’il faut toujours stocker ses cryptodevises dans des portefeuilles « froids », tels que le Ledger ou le Trezor, afin d’assurer une sécurité maximale à ses actifs. Pour plus d’informations sur le sujet, consultez notre page : sécuriser et stocker ses crypto-monnaies.